Popieram ciekawy wywód Witolda dotyczący uwiarygodniania przesyłania poczty elektronicznej. Sam ostatnio miałem przypadek, że moją pocztę z domeny iszkowksi.pl odrzucał Gmail i dopiero po ustawieniu SPF w mojej domenie poczta ze skrzynek tej domeny jest przyjmowana (ale sporo czasu mi zajęło odkrycie tej przyczyny). Ale dalej popierając wywód Witolda, jednak bym nie wpisywał nazw tych mechanizmów jako obligatoryjnie wymaganych dla dostawców poczty elektronicznej, gdyż: - nie są to rozwiązania powszechnie akceptowane i używane, - o ich zastosowaniu może decydować użytkownik domeny poczty elektronicznej (nawet taki mały jak ja mający dwie takie domeny u dużego dostawcy OVH – i nie chciałbym aby mi na siłę wpisywano takie mechanizmy, chociaż chciałbym aby ten dostawca lepiej je opisał (np. DMARC i DKIM nie używa). - SPF nie jest rozwiązaniem komercyjnym, a więc nie wiadomo jak długo będzie wspomagane, itp. - raczej dostawcy poczty nie powinni uzależniać przyjmowania poczty od innych dostawców (jak to czyni Gmail) od obecności SPF. - to powinno być zalecenie dla wszystkich dostawców, ale nie nakaz, a raczej samoregulacja I na koniec pytanie, co nakazuje UE w tej materii? I tu mamy problem, bo nie mogłem znaleźć podobnego aktu w UE, zresztą ten projekt nie wskazuje na żaden z takich aktów UE. Dlaczego więc teraz tak nagle powstał u nas? Dlaczego mamy problem? Bo czytając ten projekt mogę się również domyśleć, że może on służyć zablokowaniu w okresie najbliższych wyborów kampanii internetowych,esemesowych i głosowych prowadzonych przez opozycję. Wystarczy wtedy nakazać zablokowanie określonych stron i numerów telefonicznych głosowych i esemesowych , po czym zażalenie o zablokowaniu rozpatrzeć po 14 dniach, a nawet do 21 dni (już po wyborach). Czyż nie jest to możliwe? Dlatego też proponując poprawki powinniśmy na bazie rozwiązań technicznych ograniczyć możliwości takiego ewentualnego postępowania. Wacław Iszkowski Wysłane z aplikacji Poczta dla systemu Windows Od: Witold Rakoczy (gmail) Wysłano: piątek, 1 lipca 2022 17:06 Do: opinie-pti(a)lista.pti.org.pl Temat: [Opinie-pti] Re: Podszywanie On 2022-06-30 13:11, Dorożyński Janusz (13-PTI) wrote: Nie jestem przekonany, że zrobiłeś ten krok w najlepszy sposób, bo w sumie nie wiedziałem, czy mam wpisać uwagi do pliku ...zzz, czy stowrzyć nowy plik i wygenerować nowy plik różnicowy. Przy okazji: jeśli robi się  poprawki to lepiej osobno zmienić style i zrobić redagowanie bez zmiany treści, a potem - osobno - zmiany treści. I plik różnicowy od wersji z poprawkami formalnymi. Pozdr. W.

Witold, Ok, poczytałem sobie jeszcze co nieco o SPF DMARC i DKIM – fakt powinny być stosowane razem. Ale jeszcze (w 2022) istnieją poradniki wyjaśniające co to jest i jak to zainstalować. Powiedziane jest, że brak tej instalacji może uniemożliwić wysłanie poczty do dużych operatorów jak GMAIL, YAHOO, itp.  Jeżeli tak jest to dlaczego jeszcze ci mniejsi dostawcy nie mają takiej instalacji, świadomie się odcinając od dużych pocztowców? I teraz na naszym polskim podwórku. Czy którykolwiek z dużych dostawców poczty jeszcze nie ma takich instalacji dla swoich obsługiwanych domen, narażając ich właścicieli na brak możliwości wysyłania poczty do tych zachodnich dużych dostawców?  Wątpię – a więc pytanie , po co ich do tego zmuszać drogą ustawową? A jeżeli jednak trzeba ich zmuszać, to dlaczego nie zmusza się tych mniejszych? Przecież do rozsyłania spamu można nawet używać swojego serwera pod biurkiem. Jeżeli to takie ważne, to wszyscy w PL powinni się do tego wymagania zastosować? A jak duzi się zastosują, to mniejsi pewnie też będą musieli  bo inaczej liczba dostępnych dla nich adresatów będzie bardzo ograniczona. I ustawa jest niepotrzebna. Ale może też być wtedy kłopot z pocztą od tych wszystkich zagranicznych i lokalnych, który tego SPF DMARC DKIM jeszcze nie zainstalowali (a chyba nawet na zachodzie jest takich wielu), bo od nich poczta będzie identyfikowana jako spam do odrzucenia. Być może jeszcze wszystkiego tutaj nie czuję, może warto jeszcze zapytać kogoś, ale dla mnie Art.12 jest nielogiczny, nieprecyzyjny, niekompletny lub niepotrzebny? Ale decyzję co z tym zrobić zostawiam Januszowi! Pozdrawiam WBI Wysłane z aplikacji Poczta dla systemu Windows Od: Witold Rakoczy (gmail) Wysłano: niedziela, 3 lipca 2022 13:32 Do: opinie-pti(a)lista.pti.org.pl Temat: [Opinie-pti] Re: ODP: Re: Podszywanie On 2022-07-01 18:51, W. Iszkowski (EU) wrote: Ale dalej popierając wywód Witolda, jednak bym nie wpisywał nazw tych mechanizmów jako obligatoryjnie wymaganych dla dostawców poczty elektronicznej, gdyż: - nie są to rozwiązania powszechnie akceptowane i używane, - o ich zastosowaniu może decydować użytkownik domeny poczty elektronicznej (nawet taki mały jak ja mający dwie takie domeny u dużego dostawcy OVH – i nie chciałbym aby mi na siłę wpisywano takie mechanizmy, chociaż chciałbym aby ten dostawca lepiej je opisał  (np. DMARC i DKIM nie używa). - SPF nie jest rozwiązaniem komercyjnym, a więc nie wiadomo jak długo będzie wspomagane, itp. - raczej dostawcy poczty nie powinni uzależniać przyjmowania poczty od innych dostawców (jak to czyni Gmail) od obecności SPF. - to powinno być zalecenie dla wszystkich dostawców, ale nie nakaz, a raczej samoregulacja ABSOLUTNIE nie zgadzam się z powyższym. Wpisanie jest niezbędne, aby ta regulacja w ogóle odniosła jakiś skutek - inaczej będzie dalej tak, jak teraz. W szczegółach poniżej. - nie są to rozwiązania powszechnie akceptowane i używane, Mylisz się całkowicie - są to rozwiązania powszechnie znane i używane od wielu lat: Wikipedia: SPF: On April 28, 2006, the SPF RFC was published as experimental RFC 4408. In April 2014 IETF published SPF in RFC 7208 as a "proposed standard". DKIM: DKIM is an Internet Standard.[3] It is defined in RFC 6376, dated September 2011; with updates in RFC 8301 and RFC 8463. DMARC: DMARC is defined in the Internet Engineering Task Force's published document RFC 7489, dated March 2015, as "Informational". Jeśli poczytasz o historii stopniowego ich wprowadzania to zobaczysz, ze właśnie usiłowanie zawłaszczenia przez podmioty komercyjne standardówopóżniło wprowadzania tych rozwiązań. - o ich zastosowaniu może decydować użytkownik domeny poczty elektronicznej (nawet taki mały jak ja mający dwie takie domeny u dużego dostawcy OVH – i nie chciałbym aby mi na siłę wpisywano takie mechanizmy, chociaż chciałbym aby ten dostawca lepiej je opisał  (np. DMARC i DKIM nie używa). Jeżeli jakiś użytkownik obsługuje swoją pocztę (czyli jest operatorem poczty dla pewnej - np. swojej - domeny), to oczywiście - mając świadomość konsekwencji niestosowania isę do ogólnie przyjętych zasad - może stosować konfigurację jaką chce. Jednak jeśli np. jego serwer będzie akceptował i rozsyłał pocztę od niekontrlowanych nadawców, to prędzej czy póżniej zostanie uzyty przez spamerów i zablokowany przez wszystkich operatorów na podstawie wpisów do baz spamerów.  Analogicznie jest w przypadku SPF. Jego brak praktycznie wyklucza komunikację z dużymi operatorami. Jeżeli zlecasz obsługę swojej domeny pocztowej jakiemuś operatorowi poczty, to albo on pozwala ci wybrać w pewnym zakresie sposób skonfigurowania tej obsługi, albo nie - i wtedy możesz zmienić usługodawcę. ALE: nie widzę powodu abyś nie chciał lepszego zabezpieczenia przed próbami kradzieży tożsamości (podszywanie jest tym właśnie) o ile nie jesteś spamerem lub scamerem! - SPF nie jest rozwiązaniem komercyjnym, a więc nie wiadomo jak długo będzie wspomagane, itp. Hahaha! Wacławie, prawie cały internet działa na zasadzie stosowania się do rozwiązań niekomercyjnych. O wadach rozwiązań kmercyjnych nie chcę tu dyskutować, ale ta przesłanka zdecydowanie działa w przeciwną niż mówisz stronę! - raczej dostawcy poczty nie powinni uzależniać przyjmowania poczty od innych dostawców (jak to czyni Gmail) od obecności SPF. Jakieś sposoby sprawdzania uprawnień do wysyłania poczty w  imieniu dysponenta domeny pocztowej chyba trzeba stosować, nieprawdaż? W końcu cała sprawa dotyczy ograniczenia podszywania się. To dysponent domeny powinien wskazywać, kto ma prawo oznaczać wysyłane emaile jako nadane z adresu w tej domenie. Na tym polega ochrona. - to powinno być zalecenie dla wszystkich dostawców, ale nie nakaz, a raczej samoregulacja To JEST samoregulacja. Niestety, samoregulacja w świecie, w którym "duży może więcej" działa tak, jak działa. Przykładem jest niestosowanie się Gmaila do standardów autentykacji przy nawiązaywaniu połączeń z serwerem poczty, wskutek czego Thunderbird musiał zmienić na niezgodne ze standardem (RFC) algorytmy autentykacji. Nakaz w proponowanej ustawie ustala po prostu minimum wymagań wobec operatora jeśli idzie o dbałość o uniemozliwianie podszywania się, po prostu dość wysoki wspólny mianownik dla operatorów poczty. Każdy operator nie podlegający tej regulacji będzie mógł sobie - tak, jak sobie tego życzysz - stosowac się lub nie stosować do tych wymagań. Zaletą przymuszającego działania ustawy jest spowodowanie, że duzi operatorzy nie będą mogli (oszczędzając sobie kosztów) ignorować zasad, a te trzy mechanizmy w dodatku trudnią im "patrzenie przez palce" na płacących użytkowników, ktorzy spamują na potęgę, psując im tym samym biznes. Za to zmniejszając ilość śmieci, które otrzymujesz... W.R.